BDU:2021-02089: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с включением функций из недостоверной контролируемой области, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с включением функций из недостоверной контролируемой области. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально сформированного вредоносного PDF-файла
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox ESR, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 7 (Red Hat Enterprise Linux), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 15.1 (OpenSUSE Leap), 10.0 (Debian GNU/Linux), 7.2 Муром (РЕД ОС), 15.2 (OpenSUSE Leap), 8.1 Extended Update Support (Red Hat Enterprise Linux), 8.2 Extended Update Support (Red Hat Enterprise Linux), до 85.0 (Firefox), до 78.7 (Firefox ESR), до 78.7 (Thunderbird), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Novell Inc. OpenSUSE Leap 15.1 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • ООО «Ред Софт» РЕД ОС 7.2 Муром Не указана (запись в едином реестре российских программ №3751)
  • Novell Inc. OpenSUSE Leap 15.2 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана
Тип ошибки Включение функций из недостоверной контролируемой области
Идентификатор типа ошибки CWE-829
Класс уязвимости Уязвимость архитектуры
Дата выявления 26.01.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2021-03/
https://www.mozilla.org/security/advisories/mfsa2021-04/
https://www.mozilla.org/security/advisories/mfsa2021-05/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23953

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/thread/IQ3OIK22ZS5R75RNTHH45T2GLFPTBPOE/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LV6TQVT6324Y5SWHTL34EKZT7PFDOYE4/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23953

Для РЕД ОС:
Установить обновления безопасности для пакетов firefox и thunderbird ( https://redos.red-soft.ru/updatesec )

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются